【技术实现步骤摘要】
基于D
‑
S证据理论的混合入侵检测方法和系统
[0001]本专利技术涉及计算机网络安全
,具体地,涉及一种基于D
‑
S证据理论的混合入侵检测方法和系统。
技术介绍
[0002]随着互联网技术的发展和互联网应用场景的拓展,网络攻击技术不断推陈出新,网络攻击的危害越来越大。目前,常见的攻击方法包括端口扫描、拒绝服务攻击、暴力破解、僵尸网络、恶意代码等。入侵检测系统(Intrusion Detection System,以下简称IDS)是一种监控网络流量,根据算法发现可疑流量并发出警告的网络安全设备。IDS能够有效地发现恶意流量,有利于安全人员及时进行攻击拦截、采取安全措施,保证网络系统的安全。IDS根据信息来源可以分成基于主机的IDS和基于网络的IDS,基于网络的IDS收集网络流量,用原始的网络流量数据包作为信息源,本专利技术属于基于网络的IDS。IDS还可以根据检测方法分成异常检测和误用检测,其中误用检测对所有恶意行为建立模型,所有与恶意行为模型类似的流量被判定为入侵,本专利技术属于异常检测IDS。
[0003]异常检测IDS通常分为基于流和基于报文的IDS方法。基于报文的IDS方法以网络流量报文作为输入,报文由报头和数据段组成,其中报头包含地址信息和报文相关信息,数据段包含应用数据,因此数据段中可以挖掘出攻击流量的特征,比如暴力破解攻击中,攻击者的报文通常会出现password字段或是一些常见的密码,检测时匹配这些字段即可发现;而有些攻击报文中的特征不明显,这种情况可 ...
【技术保护点】
【技术特征摘要】
1.一种基于D
‑
S证据理论的混合入侵检测方法,其特征在于,包括:步骤1:以网络流量pcap文件为输入,使用开源流量特征提取工具提取网络流量特征,并记录每一个网络流量的五元组信息和时间戳;步骤2:根据五元组信息和时间戳,从网络流量pcap文件中找出每个网络流量相应的报文并进行提取;步骤3:根据报文的提取结果,使用基于报文的IDS算法进行检测,得到报文检测结果;步骤4:对提取的网络流量特征,使用基于流的IDS算法进行检测,得到流检测结果;步骤5:使用D
‑
S证据融合算法,综合报文检测结果和流检测结果,得到最终检测结果。2.根据权利要求1所述的基于D
‑
S证据理论的混合入侵检测方法,其特征在于,所述步骤1包括:步骤101:根据检测周期,使用流量分析软件抓取时间窗口内的网络流量,并保存为pcap文件;步骤102:将pcap文件输入流量特征提取工具中,提取包括流持续时间、报文总数、报文长度、每秒字节数、每秒报文数、标志位数量的特征,并记录每一个流的目的IP、源IP、目的端口、源端口、协议号和时间戳;步骤103:将提取的流量特征保存为tsv文件。3.根据权利要求1所述的基于D
‑
S证据理论的混合入侵检测方法,其特征在于,所述步骤2包括:步骤201:根据五元组信息和时间戳,在pcap文件中进行比对,找到每个流的前n个报文;步骤202:对每一个报文,使用python的scapy库进行报文解析,将IP地址、MAC地址置0;步骤203:对每一个报文,提取报文的前784字节,并将提取的特征保存为tsv文件。4.根据权利要求1所述的基于D
‑
S证据理论的混合入侵检测方法,其特征在于,所述步骤3包括:步骤301:使用python的numpy库将提取的报文数据从tsv文件中读入;步骤302:将报文数据输入训练后的基于报文的IDS模型进行检测,得到报文检测结果,输出一个k*1的向量,表示预测为k种类别的概率,k包括1种正常流量和k
‑
1种攻击流量。5.根据权利要求4所述的基于D
‑
S证据理论的混合入侵检测方法,其特征在于,所述步骤4包括:步骤401:使用python的numpy库将提取的流量特征数据从tsv文件中读入;步骤402:将流量特征数据输入训练后的基于流的IDS模型进行检测,得到流检测结果,输出一个k*1的向量,表示预测为k种类别的概率,k包括1种正常流量和k
‑
1种攻击流量。6.根据权利要求5所述的基于D
‑
S证据理论的混合入侵检测方法,其特征在于,所述步骤5包括:步骤501:将报文检测结果和流检测结果按照流的信息进行匹配,对于每一个流,记录1个流检测结果向量k*1和n个报文检测结果矩阵n*k*1;步骤502:对于每一个流,将流检测结果和报文检测结果进行D
‑
S证据融合,首先将n*k*1向量取平均值得到k*1向量,根据下列公式计算出1个k*1的向量,作为流和报文综合判断的结果;
其中:m1和m2均为信息源;B和C表示各信息源判断结果;m1(B)表示信息源m1判别为B的概率;X表示为一个假设;K为正交系数,表示不同假设证据间对于某假设的冲突;表示融合证据后X假设的概率;步骤503:在检测结果...
【专利技术属性】
技术研发人员:陈秀真,马颖华,裘炜程,于海洋,
申请(专利权)人:上海交通大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。